wp_spear_phishingHelmut S., 46, ist stellvertretender Leiter des Rechnungswesens bei einem mittelständische Automobilzubehör-Herstellers. Das Unternehmen beschäftigt weltweit 2.600 Mitarbeiter, verteilt auf 8 Standorte auf drei Kontinenten.
Während der Urlaubszeit erhält Helmut eine dringende Email vom Geschäftsführers der Fertigungsanlage in Vietnam. In der Mail bittet wird er gebeten, wegen einer kurzfristigen Termin-Sache eine Überweisung von 1.200.000 USD an einen Zulieferer aus dem chinesischen Wuhan zu tätigen. Der Geschäftsstellenleiter würde sich am kommenden Morgen bei ihm telefonisch melden, um weitere Details zu besprechen. Im Anschluss an das kurze Telefonat mit schlechter Rufverbindung und teils unverständlichem Englisch erhält Helmut eine weitere Email mit den Zahlungsdetails sowie die dazugehörige Rechnung.
Da sein Vorgesetzter im Urlaub weilt, niemand von der Unternehmensleitung greifbar ist und die Überweisung eilt, vertraut Helmut dem vietnamesischen Kollegen und überweist 1.200.000 USD nach China. Wenige Tage später stellt sich heraus, dass Helmut einem Betrüger ausgesessen ist.
Hört sich dieses Szenario unrealistisch an? Leider ist es das nicht, denn es häufen sich nun auch die Berichte solcher Betrugsfälle in Deuschland. CEO-Scam, President-Scam, CEO-Fraud sind die unterschiedlichen Namen für eine der aktuell größten Bedrohungen IT-Sicherheitslandschaft:  Das Zielphishen 
Das jüngste Beispiel betrifft den deutschen Automobilzulieferer Leoni, der so ähnlich um 40 Millionen Euro geprellt wurde. Leoni ist bei weitem nicht das einzige Opfer, auch nicht in Deutschland. Es hat bereits im Frühjahr die Zentralbank von Bangladesch erwischt, der Netzwerkhersteller Ubiquiti wurde um 46,7 Millionen Dollar geprellt, den CEO eines US-Luftfahrtzulieferers hat der digitale “Enkeltrick” sogar seinen Job gekostet.  Das FBI schätzt die Kosten mit CEO-Scam inzwischen auf über 2 Milliarden Dollar.
ceo_scam
Auch wir selbst haben bereits solche Emails erhalten, die allerdings nicht besonders gut waren und bei unseren Kollegen bisher nicht mehr als ein bloßes Augenzwinkern hervorgerufen hat.
Bei uns kennen sich die Mitarbeiter bereits über viele Jahre untereinander, abgesehen davon, dass unser Geschäftsführer niemals so eine Email versenden würde. Schwierig wird es jedoch, je größer und anonymer ein Unternehmen ist, womöglich verschiedene Standorte besitzt und tausende Mitarbeiter beschäftigt. Jedoch sind auch diese Mails in vielen Fällen wesentlich professioneller gestaltet, enthalten echte Signaturen, realistische Anreden und konkrete Anweisungen, wie wir es in dem Fall von Helmut S. zuvor konstruiert haben. Helmut ist hier kein Einzelfall.
 
Unternehmen empfehlen wir zu dieser Art von Zielphishen folgendes:

  • Klären Sie Ihre Mitarbeiter/innen über das Betrugsphänomen Zielphishen auf
  • Definieren Sie klare Prozesse für Auftrags-Überweisungen, insbesondere während der Urlaubszeit.
  • Seien Sie bei ungewöhnlichen Zahlungsanweisungen insbesondere ins Ausland vorsichtig und fragen Sie im Zweifel bei Ihrem Kollegen persönlich nah.
  • Vereinbaren Sie z.B. spezielle Codes für Überweisungen per Email. Ändern Sie zum Beispiel ein winziges Detail in der Signatur wie z.B. in der HRB-Nummer oder wählen Sie eine bestimmte Anrede.
  • Kontaktieren Sie Ihr Landeskriminalamt bzw. die örtliche Polizei.